Новий вірус для Android копирсається у ваших нотатках, щоб знайти секретну інформацію

Чому зловмисників зацікавили ваші нотатки?

Дослідники з компанії мобільної безпеки ThreatFabric виявили нову шкідливу програму під назвою Perseus, яка демонструє нетиповий підхід до викрадення даних. На відміну від більшості вірусів, що обмежуються перехопленням повідомлень або банківських реквізитів, Perseus систематично перевіряє особисті нотатки користувачів. Хакери полюють на паролі, фрази відновлення для криптогаманців, фінансові деталі та іншу приватну інформацію, яку люди часто записують у телефон, щоб не забути.

Дивіться також Хакери поширюють фальшивий Telegram, щоб зламати вас: як не попастися на гачок 

Це перший випадок, коли експерти зафіксували таку прицільну увагу до програм для записів на Android. Під удар потрапили найпопулярніші сервіси: Google Keep, Xiaomi Notes, Samsung Notes, ColorNote, Evernote, Microsoft OneNote та Simple Notes. Зловмисники розуміють, що саме в цих додатках зберігається величезна кількість контекстних та особистих даних, які можуть стати ключем до повного контролю над цифровим життям людини.

Як Perseus проникає в систему?

Основним каналом розповсюдження Perseus стали неофіційні магазини додатків, де він маскується під IPTV-сервіси для безкоштовного перегляду піратського контенту. Користувачі, які шукають доступ до прямих спортивних трансляцій або нелегальних фільмів та серіалів, часто ігнорують попередження безпеки та завантажують інсталяційні файли з сумнівних джерел. 

Одним із прикладів приманки став додаток Roja Directa TV, який часто стає об'єктом уваги правоохоронців через порушення авторських прав. Після встановлення програма використовує вразливості системи, щоб обійти обмеження Android щодо стороннього завантаження додатків. Отримавши доступ до спеціальних можливостей (Accessibility Services), Perseus фактично захоплює керування пристроєм.

Оператори вірусу можуть віддалено бачити все, що відбувається на екрані, стрімити зображення на свої сервери, імітувати натискання, введення тексту та навіть блокувати роботу інших додатків. Для приховування своєї активності вірус може накладати на дисплей чорний екран, поки у фоновому режимі відбувається викрадення інформації.

Хто в зоні ризику?

Технічний аналіз показав, що Perseus не є повністю новою розробкою, а базується на коді Phoenix, який своєю чергою походить від відомого банківського трояна Cerberus, чий вихідний код потрапив у мережу кілька років тому, пише Bleeping Computer. Наразі виявлено дві версії шкідливого ПЗ: турецьку та більш досконалу англійську. Остання вирізняється високим рівнем деталізації логів та наявністю емодзі в коді, що, на думку дослідників, прямо вказує на використання інструментів штучного інтелекту під час розробки.

Географія атак охоплює переважно європейські країни. Найбільше цілей зафіксовано в Туреччині, де вірус атакує 17 фінансових установ, а також в Італії (15 установ), Польщі (5), Німеччині (3) та Франції (2). Окрему увагу зловмисники приділяють криптовалютним сервісам, атакуючи 9 відповідних додатків.

Як захистити свій смартфон від нової хвилі кібератак?

Перед тим як почати активні дії на зараженому пристрої, Perseus проводить ретельну перевірку середовища. Він аналізує наявність root-прав, дані SIM-карти, профіль обладнання, стан батареї та навіть кількість встановлених додатків. На основі цих параметрів вірус формує "оцінку підозрілості", яку надсилає на сервер управління, і лише після схвалення оператором починається активна фаза крадіжки даних.

• Щоб мінімізувати ризики, експерти наполегливо радять власникам Android-смартфонів відмовитися від завантаження файлів з неофіційних джерел та від перегляду неліцензійного контенту.
• Всі додатки для стримінгу або роботи з даними слід встановлювати виключно через Google Play.
• Також важливо тримати функцію Play Protect постійно активною, оскільки вона дозволяє регулярно сканувати систему на наявність відомих загроз і вчасно виявляти підозрілу активність шкідливих програм.